Blog R&D

Chercher
  mardi 24 avril 2012 - 14:22
ZoneCentral et M-Files
Sur un poste où ZoneCentral est installé, l'affichage du contenu d'un dossier à travers le système de gestion documentaire M-Files nécessite un rafraichissement manuel.

Il est possible d'éviter cette manipulation en empêchant les interactions de cet outil avec ZoneCentral en configurant la politique P351 – Volumes que ZoneCentral ne doit pas filtrer avec les valeurs ci-dessous :
Nom de valeur : MFDisk*
Valeur : champ libre
Posté par Thibault Joseph

  mercredi 14 mars 2012 - 14:32
Incompatibilité entre ZedMail et une mise à jour de sécurité Microsoft Outlook 2003
Description du problème :

Microsoft a publié un correctif (KB2293428) de sécurité pour Outlook 2003 dont les instructions d’installation sont disponibles à l’adresse suivante : http://support.microsoft.com/kb/2293428/en-us.

L’installation et la présence de ce correctif officiel de Microsoft engendre un autre problème, cette fois-ci de compatibilité avec certains add-ins d’Outlook 2003. ZedMail fait partie de ces add-ins.

Cette incompatibilité peut engendrer un crash d’Outlook lorsque vous entrez un ou plusieurs noms dans le champ des destinataires du message. ZedMail accède à ce moment précis à l’objet AddressEntry du modèle d’objet Outlook, qui est à l’origine de l’incompatibilité. Ce problème connu de Microsoft (KB2445403) est décrit à l’adresse suivante : http://support.microsoft.com/kb/2445403/en-us.

Comment résoudre cette incompatibilité ?

Si vous rencontrez un tel comportement d’Outlook 2003, vérifiez que la mise à jour de sécurité d’Outlook (KB2293428) engendrant ce problème est effectivement installée sur le poste.

Si tel est le cas, vous pouvez :
  • Soit installer le correctif publié par Microsoft (KB2445403) à l’adresse suivante http://support.microsoft.com/kb/2445403/en-us disponible au téléchargement en haut de la page, dans l’encadré "Hotfix Download Available". Notez que ce correctif nécessite le SP3 d’Outlook 2003.
Nous vous conseillons la deuxième solution qui vous permettra de profiter de la mise à jour de sécurité (KB2293428) tout en corrigeant le problème d’incompatibilité avec ZedMail que celle-ci engendre.
Posté par Vincent Bel

  lundi 6 février 2012 - 12:13
Configuration des paramètres LDAP

L'outil de gestion de zones chiffrées (ZCEdit.exe) permet de référencer les annuaires LDAP. Dans le cas de la configuration par politiques, il est possible de récupérer la syntaxe de la configuration technique LDAP en utilisant le menu contextuel et la commande Copier.

Lancer ZCEdit : Outils : Annuaires LDAP...

Créer un nouvel annuaire :

Menu contextuel sur l'annuaire référencé : Copier :

Il suffit ensuite de la coller dans le champ valeur de la politique P195, par exemple avec gpedit.msc.
Posté par Vincent Gerdeaux

  jeudi 2 février 2012 - 18:13
Msiexec et l'UAC

Depuis Vista, Windows est doté d’un mécanisme de protection des données connu sous l’acronyme UAC (contrôle du compte utilisateur). Il permet de lancer les applications avec des droits limités même si l’utilisateur possède des droits administratifs. Si les programmes ne demandent pas les privilèges d’administration, alors ils tourneront avec des droits restreints.

Les setups des produits Prim’X réalisent pour la plupart des installations par ordinateur. Leur exécution provoque donc une demande d’élévation de privilèges et ce même si le compte utilisé est présent dans le groupe « Administrateurs ». Une fois que le setup possède les privilèges d’administration, il peut lancer l’installation du msi embarqué avec ses mêmes droits. Dans ce cas, l'installation se déroule bien.

Dans le cas ou le .msi a été masterisé (donc extrait du setup) et même si le compte utilisé est dans le groupe Administrateurs, il est nécessaire de lancer le msi en tant qu’administrateur. Si ce n'est pas le cas, l'installation échouera (dans les logs de l'exécution du .msi, vous trouverez alors plusieurs fois l'erreur 0x80070005 => Accès refusé).

Malheureusement, l’entrée « Exécuter en tant qu’administrateur » du menu contextuel du clic-droit des exécutables n’est pas présente pour les fichiers .msi. Il est alors nécessaire d’utiliser une invite de commandes lancée en tant qu’administrateur pour exécuter une commande msiexec (msiexec /i "C:\ZoneCentral.msi").

Petite astuce pour ne pas utiliser d'invite de commandes : vous pouvez ajouter une entrée dans le menu contextuel des .msi en enregistrant les clés ci-dessous dans la base de registre.

Ajouter les lignes suivantes dans un fichier .reg pour réaliser la registration des clés :

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Msi.Package\shell\SetupAsAdmin]
@="&Installer en tant qu'administrateur"

[HKEY_CLASSES_ROOT\Msi.Package\shell\SetupAsAdmin\command]
@="runas /user:Administrateur \"msiexec /i \\\"%1\\\"\""

Le nom de l’administrateur local a pu être modifié, il faut donc l’adapter en conséquence.


Posté par Julian Lelièvre

  mercredi 14 décembre 2011 - 14:04
ZoneCentral et les clés USB
Par défaut, ZoneCentral n'applique aucun traitement spécifique aux volumes amovibles : ils sont considérés comme des volumes standard, peuvent contenir des zones et être spécifiés dans les consignes de chiffrement.

Il peut néanmoins être souhaitable que ces volumes, parce-qu'ils sont amovibles, se voient appliquer un traitement particulier.

Par exemple, des clés qui ne transitent qu'entre des postes équipés de ZoneCentral peuvent être intégralement chiffrés, les clés qui sont destinées à sortir de l'entreprise peuvent embarquer un conteneur chiffré avec le lecteur Zed!, etc.

Grâce à la politique P200, des actions propres aux volumes amovibles peuvent être déclenchées lors de leur insertion. Des profils de chiffrement peuvent aussi être spécifiés, profils dont l'application peut être rendue obligatoire : l'utilisateur ne peut pas utiliser sa clé tant que son état n'est pas conforme à ce qu'a décidé l'administrateur.

La liste des actions (mot clé Action) est la suivante :
  • Ignore : le volume n'est pas considéré comme amovible, aucun traitement spécifique n'est appliqué.
  • Block : les données ne peuvent pas être lues où écrites.
  • ReadOnly : les données peuvent uniquement être lues.
  • EncryptedWriteOnly : lecture autorisée, mais seules les écritures chiffrées sont autorisées.
Si aucune de ces actions n'est précisée alors les écritures de données en clair sont autorisées ; c'est à l'utilisateur de faire preuve de discipline et de ne pas déposer de données sensibles dans les emplacements non-chiffrés de sa clé USB.

Plusieurs types de chiffrement (mot clé Profile) sont possibles, en fonction de l'usage de la clé :
  • FullZone : clé entièrement chiffrée, utilisable uniquement sur des postes équipés de ZoneCentral.
  • SubZone : un dossier chiffré est créé, pour une clé multi-usages : les données sensibles sont déposées dans la zone et ne peuvent être accédées que depuis un poste équipé de ZoneCentral. Le reste de la clé peut être utilisé sur des postes sans ZoneCentral, et ne doit pas contenir de données sensibles.
  • Zed : La clé est destinée à des postes non équipés de ZoneCentral, mais contient des données sensibles. Dans ce cas ces données doivent être déposées dans un Zed! créé à la racine du volume. Le lecteur Zed! est automatiquement copié sur la clé.
  • FullZoneAndZed, SubZoneAndZed et SubZoneAndSubZed : combinaisons des modes ci-dessus.
Mais comment déterminer automatiquement l'usage qui sera fait de la clé ?
  • Il est possible de trier les volumes par types (mot clé Type) : "eSata", "USB", "1394", "SD", "MMC" ou "Other".
  • Les clés ont des identifiants (mot clé Id) qui sont fonctions de leurs constructeur. Si ces clés ont été attribuées par l'entreprise, alors elles peuvent être facilement filtrées par ce critère.
  • Sinon il faut adopter un comportement par défaut, qui peut être de laisser le choix à la discrétion de l'utilisateur.
En pratique, la politique P200 est constituée de plusieurs lignes de type <Nom de valeur> <Valeur>
  • Le nom de valeur contient la description de la clé (Type et Id). Cette description peut être plus ou moins précise (seulement le type, seulement l'identifiant, où "*"), le nom de valeur le plus précis sera utilisé quand la clé correspondante sera insérée. Le champ Id peut contenir les méta-caractères "?" et "*".
  • La valeur contient les Action, les Profile, ainsi que d'éventuelles options (détaillées plus bas). Une seule action est possible dans une valeur, mais il est possible de spécifier plusieurs profils et ainsi laisser le choix à l'utilisateur.
Ci-dessous les options supplémentaires quand (au moins) un profil est spécifié :
  • ProfileNeededToWrite=1 : tant que le volume n'est pas conforme à un des profils, l'écriture de données sera refusée.
  • HideCancelCheckBox=1 : la case à cocher "Ne plus me proposer" de la fenêtre d'application d'un profil est masquée.
  • HideCancelButton=1 : le bouton "Annuler" de la fenêtre de proposition d'application d'un profil est masqué.
  • SubZoneName=xxxx : choix du nom de la zone chiffrée créée (avec un des profils "SubZone"). Par défaut le nom "Protected" est utilisé.
  • ContainerName=xxxx : choix du nom du conteneur chiffré créé (avec un des profil "Zed"). Par défaut le nom "Protected.zed" est utilisé.
La commande ZoneCentral zcucmd permet de déterminer facilement l'identifiant d'une clé une fois celle-ci insérée dans le poste :

C:\Program Files\Prim'X\ZoneCentral [x64]>zcucmd sv -d
72 volume(s) gérés :
[C:]
  Périphérique : \Device\HarddiskVolume2
[...]
[J:]
  Périphérique : \Device\HarddiskVolume39
  Type de bus : USB
  Id. de périphérique : USBSTOR\Disk&Ven_&Prod_USB_Flash_Memory&Rev_1.04
  Id. matériel :
  USBSTOR\Disk________USB_Flash_Memory1.04
  USBSTOR\Disk________USB_Flash_Memory
  USBSTOR\Disk________
  USBSTOR\________USB_Flash_Memory1
  ________USB_Flash_Memory1
  USBSTOR\GenDisk
  GenDisk

Une fois cet identifiant obtenu, il est possible de construire des configurations complexes, par exemple :


* 
Action=ReadOnly
Type=eSata
Action=Ignore
Type=USB
Profile=Zed+SubZoneAndZed
Id=*USB_Flash_Memory1.04*
Profile=FullZone;ProfileNeededToWrite=1

Cette configuration permettra aux utilisateurs de lire les cartes mémoire tirées d'appareils photo, considèrera les disques eSata comme des disques normaux, proposera à l'utilisateur un chiffrement "léger" des clés USB inconnues, et un chiffrement complet des clés USB de l'entreprise.
Posté par François Brunel